Все больше файлов Microsoft OneNote перехватывается для распространения вредоносного ПО
8 февраля 2023 г.Исследователи обнаружили новую киберкампанию с использованием файлов Microsoft OneNote для заражения устройств вредоносной программой QBot. .
В отчете Sophos утверждается, что кампания, получившая название QakNote, в настоящее время активна, и неизвестные злоумышленники рассылают фишинговые электронные письма с вложениями NoteBook, которые поставляются с собственными вложениями.
Эти вложения могут быть практически в любом формате, и в данном случае это файл HTA — встроенное HTML-приложение.
Многоэтапные атаки
При активации приложение извлекает вредоносную нагрузку QBot, которую злоумышленники могут использовать для получения начального доступа к целевым конечным точкам. Позже они могут использовать этот доступ для развертывания вредоносного ПО второго уровня, будь то информаторы, программы-вымогатели, криптомайнеры или что-то еще целиком.
Чтобы активировать вложение, жертвам необходимо дважды щелкнуть определенную часть файла Блокнота.
Субъекты угрозы обычно создают поддельный размытый отчет с большой кнопкой «Нажмите здесь, чтобы просмотреть», обманывая людей, заставляя их думать, что содержимое файла «защищено» из соображений конфиденциальности.
Microsoft OneNote стал одним из самых популярных векторов угроз после исчезновения макросов Office. В 2022 году Microsoft сделала невозможным запуск макросов в файлах Office, загруженных из Интернета, что фактически положило конец одному из самых популярных существующих векторов атак. С тех пор злоумышленники ищут альтернативы, и пока все большую популярность приобретают два метода.
Файлы OneNote с вредоносными вложениями — один из методов, второй — файлы ярлыков (.LNK ) используется для боковой загрузки вредоносных .DLL.
При втором способе злоумышленники отправляют архивную папку, содержащую вредоносный файл .DLL, законное приложение, такое как калькулятор Windows, и файл ярлыка, значок которого был изменен на что-то другое (например, файл .PDF). Если жертва щелкнет файл ярлыка, она запустит приложение, которое активирует вредоносный файл .DLL.
Какой бы метод ни выбрали злоумышленники, всех их объединяет одно: жертва должна действовать, поскольку именно она должна запустить вредоносный код. При этом лучший способ обезопасить себя — руководствоваться здравым смыслом и быть осторожным при запуске файлов, загруженных по электронной почте.
- Вот наш список лучших инструментов для защиты конечных точек. вокруг
Через: BleepingComputer
Оригинал